Bonjour à tous,
Voici la situation : un proxy (classique, pas inversé) a été placé devant un serveur web. Ce serveur web doit donc passer par ce proxy pour toutes les requêtes sortantes qu'il initie vers Internet (wget, déposer un fichier quelque part par FTP, accéder à un webservice, etc.).
(Quand le serveur répond à des requêtes entrantes, ce n'est pas du tout le même cas de figure, ça passe par un reverse-proxy frontal de manière transparente pour le serveur)
La question est la suivante : à quoi est-ce que cela peut bien servir en termes de sécurité ?
De mon expérience avec les proxys, à pas grand chose, mais je me dis que si ça a été fait, il doit bien y avoir une raison, non ?
Raisons que je connais d'installer un proxy :
- optimiser la bande passante quand plusieurs postes clients sont susceptibles d'effectuer les mêmes requêtes (ne concerne généralement pas les serveurs)
- interdire l'accès à certains sites (ne concerne pas non plus les serveurs)
- interdire l'accès à Internet à certaines heures ou obliger les internautes à s'acquitter d'un certain montant comme les proxys transparents dans les aéroports par exemple (ne concerne vraiment pas les serveurs)
On peut certainement ajouter beaucoup de choses à cette liste, mais je ne vois toujours pas ce qu'on peut rajouter qui va être utile à des serveurs web et encore moins pour des raisons de sécurité.
Je précise que le réseau peut parfaitement être reconfiguré pour que les serveurs en question aient un accès direct à Internet. Le proxy a été volontairement placé là pour des raisons de sécurité (lesquelles ?).
Je comprends qu'on souhaite isoler les serveurs d'une partie du réseau mais pour cela, ne suffit-il pas de créer une DMZ en les plaçant derrière un routeur et en leur donnant un accès à Internet "NATté" ?
Merci d'avance pour vos lumières et vos commentaires !
# parce que ca fait bien dans un CV ou sur un rapport de securité ?
Posté par NeoX . Évalué à 2.
peut-etre parce que si tu as plusieurs serveurs, cela evite d'aller 10x chercher une mise à jour sur internet alors qu'elle est sur le proxy ?
peut-etre que le proxy te redirige en fait sur un mirroir local pour faire tes mises à jours.
ainsi le mirroir ne contient que les MAJs verifiées et habilitées par le M.Securité de ta société, et cela evite d'avoir des variantes a/b/c d'un meme programme avec c une version alpha parce que tu es un utilisateur avancée qui n'a pas peur.
# plus un serveur mais un client
Posté par fcartegnie . Évalué à 4.
comme un client:
- n'autoriser que les url voulues
- possibilité de ne pas dévoiler l'IP
- les données en cache
# une étape supplémentaire pour sortir du réseau
Posté par nono14 (site web personnel) . Évalué à 4.
Cela nécessite une configuration supplémentaire pour les attaques venant du web.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: une étape supplémentaire pour sortir du réseau
Posté par Dario Spagnolo (site web personnel) . Évalué à 1.
En effet, merci !
Ceci dit, ne serait-ce pas plus efficace de mettre en place des règles pour le trafic sortant sur le routeur qui connecte le serveur à Internet ?
On pourrait imaginer que le serveur X ne soit autorisé qu'à joindre les serveurs externes A, B et C sur les ports 80 et 21 par exemple.
[^] # Re: une étape supplémentaire pour sortir du réseau
Posté par BAud (site web personnel) . Évalué à 2. Dernière modification le 29 juillet 2011 à 00:05.
moui, j'ai plutôt vu des firewalls (ce qui évite les attaques php qui vont chercher des données supplémentaires ou faire un call back ou tout simplement un classique botnet...).
l'avantage d'un proxy filtrant serait pour moi :
bref pas mal d'hypothèses... que t'as indiqué celui qui a souhaité le mettre en place (outre le fait que tu sembles partir de l'hypothèse que ton serveur n'est pas compromis, ce qui est l'hypothèse contraire que ton interlocuteur aura sans doute retenue, j'ai souvent affaire à des gens de la sécurité, je commence à entrevoir leur schéma de pensée...).
# Une histoire de politique peut être
Posté par Sano . Évalué à 3.
Dans certaines boîtes (qui a dit milieu bancaire ?) il est fréquent que les connexions directes vers l'extérieur soient interdites, ou simplement tellement difficiles à obtenir que tout ou presque passe par un proxy.
Pour donner un exemple, je devais un jour installer un serveur qui devait récupérer régulièrement du contenu sur internet en HTTPS, sur des IP identifiées. Le proxy de la boite était incompatible avec cette solution (précisé noir sur blanc dans la doc). On a essayé quand même mais en vain (tout le monde pouvait accéder au proxy).
Il a donc fallu ouvrir le port 443 dans le firewall sur un port donné, entre une IP interne fixe et 2 IP externes fixes aussi !
Et bien ça a pris plus d'un mois. Il a fallu remplir une demande en 3 exemplaires, la faire parvenir aux services réseau, sécu, et à la direction, la faire analyser et approuver, attendre un résultat d'audit, etc...
Tout ça pour dire que des fois c'est plus simple de passer par un proxy, en fonction de la politique de la boite.
Après les raisons peuvent être nombreuses :
- permettre le suivi, l'analyse et le filtrage des connexions sortantes
- éviter de potentielles attaques
- limiter au max la bande passante consommée
- éviter de pourrir les règles des firewalls avec 150 exceptions
- etc...
*Sano*
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.